Zabezpieczenia EMET 4.1 rozbrojone

[Tadek59]

Witam !

W sieci pojawił się gotowy exploit, który deaktywuje i obchodzi wszystkie zabezpieczenia aktualnej wersji EMET 4.1 update 1.

Niejednokrotnie już polecaliśmy użytkownikom Windows stosowanie stworzonego przez Microsoft zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET), dzięki któremu wiele cyberataków, które radzą sobie ze standardowymi zabezpieczeniami systemu, staje się nieskutecznych. Skuteczność EMET-u sprawia jednak, że budzi on spore zainteresowanie ekspertów od bezpieczeństwa, zarówno whitehatów jak i blackhatów. W lutym tego roku zestaw narzędzi został rozbrojony przez hakerów z Bromium Labs, jednak dali oni Microsoftowi czas na przygotowanie się i zabezpieczenie przed ich metodą ataku. Teraz sytuacja jest bardziej skomplikowana: w Sieci pojawił się gotowy exploit, który deaktywuje i obchodzi wszystkie zabezpieczenia aktualnej wersji EMET 4.1 update 1.

Dzieło badaczy z grupy Offensive Security jest inspirowane pracą z Bromium Labs, których artykuł Bypassing EMET 4.1 wywołał spore zainteresowanie w branży. Jako jednak że przedstawione tam metody skupiały się na obchodzeniu zabezpieczeń EMET-u, zdecydowali się oni pójść inną drogą i skupić na znalezieniu sposobu na rozbrojenie microsoftowego narzędzia.

Rozbrojenie jest dla twórców exploitów bardziej użyteczne niż obejście, gdyż pozwala im na korzystanie ze zwykłego shellcodu, np. generowanego przez Metasploita. Dzięki możliwości wyłączenia wszystkich zabezpieczeń ułatwia też prace programistyczne nad exploitem, szczególnie jeśli wykorzystuje on techniki ROP (Return-Oriented Programming), w których exploit jest „składany” z fragmentów działającego już na maszynie kodu.

Dokładny opis swoich starań eksperci przedstawili na łamach bloga grupy. Kod exploitu został wgrany do Sieci, przygotowano też demonstrację ataku na Internet Explorera, skutecznego pomimo włączonych zabezpieczeń EMET (przy ustawieniach zalecanych). Możecie ją obejrzeć na poniższym wideo (najlepiej z włączonym dźwiękiem).
[vimeo]http://vimeo.com/99658866[/vimeo]
Offensive Security podkreśla, że Microsoft prawdopodobnie zdaje sobie sprawę z takich metod ataku i zabezpieczył się przed nimi w przygotowywanym obecnie EMET 5 (dostępnym obecnie jako Technical Preview). Podczas najbliższej konferencji Black Hat w Las Vegas badacze chcą jednak zademonstrować atak wymierzony w wersję piątą tego zestawu narzędzi. Jak widać, zabawa w kotka i myszkę trwa nadal.

Więcej :

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!